Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da stavoltafunzia

Fin' ora sembra essere tutto ok, non ho riscontrato niente di strano.
Grazie del supporto

Prego, ciao.

[miram]

Ciao a tutti, ho seguito con molto interesse questa discussione essendo anch'io incappato in qualche cosa di strano: Windows 2000 originale con sp4 e tutti gli aggiornamenti possibili... Antivirus Avira personal che non rivela nulla come d'altra parte tutte le utility qui esposte tranne gmer che insiste a scrivere che nei settori 62 e 63 oltre alla copia MBR sono presenti rootkit-like behavior (!!!??): ho gia provveduto a ripartire con cd e fatto fixmbr e fixboot, mbr.exe non rivela nulla e non funziona mbr.exe -f (non cambia nessun boot sector)... Mi devo preoccupare??? Ho un richiesta: è possibile cancellare fisicamente il boot sector e poi ricostruirlo? Grazie.... Marco
PS Tempo fa avevo preso Bagle...

[Chill-Out]

Quote:

Originariamente inviato da miram

Ciao a tutti, ho seguito con molto interesse questa discussione essendo anch'io incappato in qualche cosa di strano: Windows 2000 originale con sp4 e tutti gli aggiornamenti possibili... Antivirus Avira personal che non rivela nulla come d'altra parte tutte le utility qui esposte tranne gmer che insiste a scrivere che nei settori 62 e 63 oltre alla copia MBR sono presenti rootkit-like behavior (!!!??): ho gia provveduto a ripartire con cd e fatto fixmbr e fixboot, mbr.exe non rivela nulla e non funziona mbr.exe -f (non cambia nessun boot sector)... Mi devo preoccupare??? Ho un richiesta: è possibile cancellare fisicamente il boot sector e poi ricostruirlo? Grazie.... Marco
PS Tempo fa avevo preso Bagle...

Allega i log di gmer e Prevx CSI

[miram]

Ho a portata di mano quello di gmer (sono al lavoro e lo avevo spedito qui da casa via email)... Ti indico solo le voci strane...

Disk \Device\Harddisk0\DR0 sector 1: copy of MBR
... tutti uguali
Disk \Device\Harddisk0\DR0 sector 61: copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR

Scansione fatta con GMER 1.0.14.
Il PC risulta pulito a tutte le scansioni e non ha problemi di sorta ma poichè lo uso per homebanking ed altro vorrei eliminare il problema...

Ho trovato un sw interessante per leggere e scrivere l'MBR (HDhacker) ma non ho capito bene se i settori sono proprio quelli fisici o sono sparsi per il disco.

[Chill-Out]

Quote:

Originariamente inviato da miram

Ho a portata di mano quello di gmer (sono al lavoro e lo avevo spedito qui da casa via email)... Ti indico solo le voci strane...

Disk \Device\Harddisk0\DR0 sector 1: copy of MBR
... tutti uguali
Disk \Device\Harddisk0\DR0 sector 61: copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR

Scansione fatta con GMER 1.0.14.
Il PC risulta pulito a tutte le scansioni e non ha problemi di sorta ma poichè lo uso per homebanking ed altro vorrei eliminare il problema...

Ho trovato un sw interessante per leggere e scrivere l'MBR (HDhacker) ma non ho capito bene se i settori sono proprio quelli fisici o sono sparsi per il disco.

Se fosse possibile vorrei il log completo, allegalo in base alle istruzioni indicate in prima pagina, thx.

[miram]

gmer.log

Eccolo! Grazie

[Chill-Out]

Quote:

Originariamente inviato da miram

gmer.log

Eccolo! Grazie

Bene vorrei vedere anche il log di Stealth MBR rootkit detector ovvere i log della :: Seconda fase :: punti 1 - 2 - 3

[miram]

Quote:

Originariamente inviato da Chill-Out

Bene vorrei vedere anche il log di Stealth MBR rootkit detector ovvere i log della :: Seconda fase :: punti 1 - 2 - 3

Non li ho qui... sono via e tornerò a casa solo martedi... per ora grazie... martedì sera posterò gli altri...
ma erano puliti come da punto 3 con mbr.exe. e norton non rivela nulla...

[Chill-Out]

Quote:

Originariamente inviato da miram

Non li ho qui... sono via e tornerò a casa solo martedi... per ora grazie... martedì sera posterò gli altri...

Ok

[miram]

Visto il tempo sono in anticipo!!! ecco i log....
mbr non rivela nulla e non modifica nulla: se vuoi i log della provvisoria ugualmente fammi sapere...

CureIt.log
FixMebroot.log
mbr.log
Prevx.log

quello di gmer è valido il precedente... Grazie e Buona settimana a TUTTI!!!

[miram]

Eccomi, sono al lavoro... Allora ribadisco il buongiorno a tutti e buon lavoro. Ho una domanda che mi dovrebbe chiarire un dubbio... E' possibile che quelli che ho trovato nei set 62 e 63 siano solo delle copie dell'MBR? Se si, è possibile semplicemente cancellarle???

[Chill-Out]

Quote:

Originariamente inviato da miram

Eccomi, sono al lavoro... Allora ribadisco il buongiorno a tutti e buon lavoro. Ho una domanda che mi dovrebbe chiarire un dubbio... E' possibile che quelli che ho trovato nei set 62 e 63 siano solo delle copie dell'MBR? Se si, è possibile semplicemente cancellarle???

ultima cosa un log aggiornato di Gmer, thx.

[miram]

Quote:

Originariamente inviato da Chill-Out

ultima cosa un log aggiornato di Gmer, thx.

quello questa sera.... Questa mattina era troppo lungo e non son riuscito
Rispetto al vecchio ci sono solo delle voci inerenti il sw di altiris che ho rimosso appunto per velocizzare...

[miram]

Quote:

Originariamente inviato da Chill-Out

ultima cosa un log aggiornato di Gmer, thx.

OK, oggi vado a casa a mangiare e nel primo pomeriggio, prima del lavoro lancio gmer... vediamo se riesco in 1/2 ora ad avere il log... Scusami ancora per il disguido.... Grazie

[Chill-Out]

Quote:

Originariamente inviato da miram

OK, oggi vado a casa a mangiare e nel primo pomeriggio, prima del lavoro lancio gmer... vediamo se riesco in 1/2 ora ad avere il log... Scusami ancora per il disguido.... Grazie

Nessun disturbo, quando puoi, attendo il log

[miram]

Ecco il log di Gmer fresco fresco...

Gmer.log

[Chill-Out]

Quote:

Originariamente inviato da miram

Ecco il log di Gmer fresco fresco...

Gmer.log

Sei pulito nonostante il log di Gmer segnali ciò:

Quote:

Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR

per quanto concerne gli altri settori del disco sembra che un programma li abbia scritti è una specie di falso positivo di Gmer + o -

[miram]

Quote:

Originariamente inviato da Chill-Out

sembra che un programma li abbia scritti è una specie di falso positivo di Gmer + o -

Prima di tutto grazie mille...
Beh, io uso spesso ghost e acronis... Considera che fra aggiornamenti e pulizie è un pc che non formatto dal 98...
Lo immaginavo ma la cosa mi infastidisce... E' possibile forzare la copia su questi due settori???

[Chill-Out]

Quote:

Originariamente inviato da miram

Prima di tutto grazie mille...
Beh, io uso spesso ghost e acronis... Considera che fra aggiornamenti e pulizie è un pc che non formatto dal 98...
Lo immaginavo ma la cosa mi infastidisce... E' possibile forzare la copia su questi due settori???

Io lascerei il mondo come stà, se decidessi di formattare in funzione del fatto che non formatti dal 98' devi procedere con un format di basso livello, ma se il Pc non dà problemi non mi sembra il caso.

[miram]

Quote:

Originariamente inviato da Chill-Out

Io lascerei il mondo come stà, se decidessi di formattare in funzione del fatto che non formatti dal 98' devi procedere con un format di basso livello, ma se il Pc non dà problemi non mi sembra il caso.

No!, non da nessun problema... ogni tanto si dimentica il beep all'avvio ma basta smntare le schede, pulirle e rimetterle... Ho tutti gli slot pieni, rete, firewire, usb 2.0, acuisizione video... I pc vecchiotti non avvano nulla integrato! Ho riscnerizzato con gmer in mod provvisoria e quelle voci non c sono! Eccolo:

Gmer Prov.log

Normale???